企业文化

吃鸡外挂含木马 团伙控制389万台电脑挖矿获利1500万

  58迅推增值联盟源于一家网络公司——晟平公司。这家公司2014年成立,坐落在大连市甘井子区。公司旗下有两个网站:一个是迅推,另一个是速推。两个网站在分工上各有侧重,迅推主要是做广告增值和云增值(就是“挖矿”,即挖取虚拟货币);速推则做手机App。

  2014年试运行之后,公司幕后控制人贾峰指使公司副总兼运营主管张焕亮组织所谓的“研发”,也就是先研发挖矿监控软件,再集成挖矿程序。很快,该公司形成了以闫石为技术主管,以赵乐乐、丛宁一、彭立山等人为技术骨干的研发团队,将寻找到的挖矿程序进行完善,制作成“EXE”木马程序。程序研发后交由测试部测试员白桦进行测试,一旦测试成功就投放公司的迅推客户端平台,再由郭宜杰、费林洋等客服部工作人员通过客服、QQ等方式向市场推广。客服部肩负“发展下线带领并指导使用”的双重任务,在向市场推广的过程中,成功“吸纳”了贺翔成、张数等若干下线。

  贺翔成和其他下线从迅推平台下载增值客户端程序后,通过多种方式将增值客户端非法植入到网吧主机中,并静默下载挖矿监控软件和挖矿程序运行。挖到的矿币会转移到贺翔成等人的虚拟货币钱包中,由公司财务主管励芸随时变现提现,并按照控制的终端数向代理分发提成。这些虚拟货币主要有DGB(极特币)、XMR(门罗币)、Zcash(零币)等类型。至案发,团伙成员非法控制389万多台电脑主机做广告增值收益,在100多万台电脑主机静默安装挖矿程序,两年间共挖取DGB(极特币)2600余万枚。这些虚拟货币大部分都已经卖出,嫌疑人共非法获利1500余万元。

  与贺翔成同时加入58迅推增值联盟的杜良晖、张数、高曰然,也是发展较为迅猛的三条“下线岁的广东佛山人杜良晖是晟平公司成立之初发展的客户,算是资历较深的“雇员”。他通过从迅推网页上下载晟平公司提供的一份EXE格式的客户端程序,并将这个软件进行编辑,把它绑定到自己编写的一个消除网吧广告的小软件里面,在消除网吧接受其他广告的同时,仍可以接受晟平公司的广告。杜良晖还将编写的这个软件分享给了一个网管QQ群里,让其他的网管朋友帮忙做推广,很多人用得不错,就自行下载安装到网吧系统里,此时罪恶的黑手已经伸向这些网吧。就这样,杜良晖利用网吧维护人员身份,将迅推网站“推广”的“EXE”木马程序静默式植入网吧电脑中,案发时杜良晖已经非法控制了9495台计算机进行“挖矿”,牟利100余万元。

  36岁的黑龙江籍青年张数和同龄同乡好友高曰然,也忙碌在“挖矿”的第一线,他俩与贾峰形成“铁三角”。早在2014年贾峰就与张数相识,那时候,贾峰在搞广告弹窗,而张数则是一家网络公司的法定代表人,负责维护“净网先锋”网站,该网站本身就有一个推送功能,这为日后挖矿留下“口子”。

  2017年6月至2018年4月间,张数伙同高曰然利用管理“净网先锋”网吧管理系统的便利条件,将晟平公司提供的“EXE”木马程序植入“净网先锋”的服务器,非法控制黑龙江一亩园网吧、银河舰队网吧、大伽网吧等486家网吧,共计15772台计算机来“挖矿”进而牟利。晟平公司在张数、高曰然作案时负责木马程序的正常运行、统计挖取虚拟货币的数量并变现、提现,其中,返利给张数30余万元。

  2018年4月,青州市公安机关抽调精干力量50余人赶赴大连,在当地公安机关的协同配合下,经过紧张的侦查工作,终将涉嫌非法控制计算机信息系统犯罪嫌疑人贾峰、励芸等16人全部抓获。至此,警方一举破获这起特大非法控制计算机信息系统案,抓获了涉案的20名犯罪嫌疑人,成功捣毁涉案网络科技公司2个,扣押涉案电脑52台,查缴游戏黑客程序1款、vpn加速器1款、酷艺VIP影视木马控制程序1款;同时,公安机关还查缴58迅推木马增值客户端、挖矿程序及挖矿监控程序157款。

  据办案检察官介绍,此类新型犯罪案件,因具有很强的隐秘性,被害人对犯罪分子的“挖矿”行为鲜有觉察,电脑被外挂程序后大多数情况下也是浑然不知,这不仅直接影响到计算机的GPU和CPU的正常运行,还对电力资源造成巨大浪费。(嫌疑人、涉案公司均为化名)

  网络信息安全公司瑞星近日发布《2018年上半年中国网络安全报告》。报告显示,今年上半年勒索病毒和挖矿病毒爆发频繁、危害较大,已经成为企业网络安全的最大威胁。

  伴随区块链的火热,一些网络黑色产业链盯上了数字虚拟货币,病毒传播者可以不知不觉利用个人电脑进行挖矿,并且由于病毒隐蔽性强,对个人电脑没有明显的侵入感,因而很难被觉察。

  7月初,山东省青州警方破获了一起制造木马病毒感染普通电脑,并利这些电脑闲置的CPU资源“挖矿”的案件。